ARP攻擊100%解決方案 用PPPOE解決問題

　　ARP攻擊因為涉及的網絡設備很多，但是大家總希望往ROS 身上找原因，那麼我就按照大家的思路給出1個100%解決ARP方案。

　　而且在我經手的幾十家網吧都已經實施了

　　一、改ROS

　　必須把 ROS 改變成 PPPOE 服務器的模式帶客戶機器上網

　　關於 PPPOE 的話題大家可以使用論壇的搜索功能 完全可以看到 圖文並茂的貼

　　二、改客戶機器

　　WINDOWS 系統 已經默認帶有PPPOE 的撥號方式

　　大家完全可以建立腳本 的方式來讓XP 或者2003 開機自動撥號

　　假設我這裡的寬帶帳號和密碼分別是wzl.8878888密碼是1234567，我這裡只舉個例子，當然大家自己輸入的時候，需要輸入你們真實的寬帶撥號的帳號和密碼，廢話不說了。

　　1.首先 在桌面上，鼠標 右鍵 新建 文本文檔特別注意，命令格式如下：

　　rasdial 寬帶連接 wzl.8878888 1234567

　　rasdial命令是windows自帶的一個命令，可以實現網通，電信，寬帶自動撥號的一個命令。

　　寬帶連接是 你桌面上的撥號連接的程序名，可以自己隨便修改，默認的是寬帶連接，自己可以修改為adsl，lan等等的名字都可以。

　　wzl.8878888這個是寬帶撥號的帳號。

　　1234567是寬帶撥號的密碼。

　　特別提醒大家rasdial和寬帶連接之間有一個空格，寬帶連接 和wzl.8878888之間也有一個空格，wzl.8878888和1234567也有一個空格。

　　好了，大家知道了上面的命令及，寫命令的方法。下面我們開始自己寫一個批處理文件把。

　　打開剛剛桌面上新建立的 新建 文本文檔然後輸入：

　　rasdial 寬帶連接 wzl.8878888 1234567

　　(再次提醒大家：寬帶連接，是你點桌面上的撥號程序的名稱，如果你的撥號程序名稱是adsl那這裡的寬帶連接就填寫adsl，wzl.8878888是寬帶撥號帳號，1234567是寬帶撥號密碼，請都正確填寫)

　　然後大家點“文件”另存為

　　然後在文件名裡輸入adsl.bat點保存就可以了，這個時候大家會發現桌面上多了一個adsl.bat的批處理文件，請看

　　(特別注意的是：adsl.bat裡的adsl是我自己隨便取的一個批處理文件名，當然大家可以隨便取，比如lan，寬帶撥號，等名字都可以的)。

　　好了。現在大家只要把adsl.bat鼠標 左鍵點著不要放，然後拉到 開始 程序 啟動裡，或者在計劃任務裡設置一下就可以實現開機自動撥號連接了了。兩種方法，可以任選一種，每種方法都可以，大家覺的哪種方法好就用哪一種，兩種方法詳細介紹如下：

　　1.把adsl.bat鼠標 左鍵點著不要放，然後拉到 開始 程序 啟動裡

　　已上介紹的方法，同樣適合win98/winme/win2000/winxp/win2003等操作系統。

　　第3步 取消本地 網絡 原有的 網關和 DNS

　　================================

　　OK 使用上述方式100% 解決ARP 問題

　　==================================================================

　　以下是轉自 xqs428 的文章

　　ARP欺騙的防御措施

　　一就是不使用ARP協議,沒有ARP協議也就沒有ARP欺騙

　　1)在局域網內可以采用PPPOE的方式上網,PPPOE不使用ARP協議,也就不會產生ARP,而且PPPOE不會改變原來的局域網拓撲結構,它是在802.3的基礎上的二次封裝數據包.

　　2)使用PPP方式上網,ADSL就是這個方式,這個有點片面,需要改變原本的拓撲結構.

　　3)使用IPX協議,難於實施

　　4)使用其他的模式上網,不再討論,不是很現實

　　繼續使用ARP協議,從其他的方面防止ARP病毒

　　1)下層設備和上層設備的雙向綁定,雙先綁定能解決ARP欺騙所造成的斷網現象,但是此方式內的缺陷是在網絡內ARP數據包亂飛(影響網絡質量,在用戶多的情況下,用戶端綁定不利於實施,適用於小型網絡).

　　2)用戶端處上接可網管交換機,用交換機進行端口和MAC地址以及IP地址的綁定,很好的防止ARP欺騙,但是這個也有一定的缺陷(投資大,需要可網管交換機,適用於小型網絡)

　　3)用戶端使用ARP防御工具,比如彩影的ARP防御工具,或者包過濾防火牆,很好的防止ARP欺騙(在用戶端比較多的情況下不利於實施,用於小型網絡)

　　4)使用路由器廣播網關的MAC地址的ARP包,ARP病毒在發包比較厲害的情況下用處不大(沒有根本阻止ARP影響,不怎麼地)

　　對於各地公安的情況

　　一般可以這樣解決

　　方法一：

　　-光纖--鏡像交換機(告訴公安管理的端口)--ROS (用1個和公安鏡像的端口)--網吧客戶機

　　方法2

　　使用ros的packet sniffer實現公安監控!

　　routeros工具裡提供了packet sniffer這個工具，原理是網絡嗅探器，把經過設置界面(interface)的數據包復制一份發給指定的服務器(也就是裝有任子行)的網卡，這樣，裝有任子行的機器就可以嗅到這些數據包進而實現監控功能。

　　具體做法是：tools-->packet sniffer

　　然後點擊 settings 出現一個設置筐：

　　general裡interface 是你要進行轉發的界面

　　memory limit是使用最大內存數量一般10KB足以

　　file name可以不填寫file limit也可以默認

　　Streaming頁裡Server項裡填寫裝有任子行的機器ip

　　注意：streaming enabled已經要選上，呵呵，不選不會啟動的

　　Filter頁裡除了Protocol可以改一下，其他的都可以默認的，因為目的就是將所有的包轉發過去，默認的就可以了。

　　protocol分為ip only;all frames;mac onlay no ip三種。

　　其中 ip only就是我們要用的項目，基於ip地址進行傳播的數據，其他的兩種用與特殊環境下，不用理會

　　完成了以上設置，選上了streaming enabled，packet sniffer就開始工作了：)怎麼才能知道它是否正常工作呢??很簡單，去指定的服務器上看任務蘭裡網絡圖標的狀態，如果收到的包超級多的話就是正常了，呵呵，用過帶端口鏡象的人都知道這個現象吧：)